Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Tento červa se šíří v e-mailových zprávách. Červ samotný je soubor DOS EXE o délce přibližně 30 kilogramů. Při spuštění se nainstaluje do adresáře systému Windows s názvem TYPEDEF.EXE a zaregistruje se v souboru Win.ini v sekci automatického spuštění. Chcete-li svou činnost skrýt, pak červ zobrazí falešnou zprávu a ukončí:

PKSFX Self Extraction Utility verze 2.50 03-01-1999
Copr. 1989-1999 PKWARE Inc. Všechna práva vyhrazena. Verze Shareware
PKZIP Reg. US Pat. a Tm. Vypnuto. Patent č. 5,051,745

Chyba v SFX – Nelze extrahovat!

Během instalace se červ pokusí najít čtyři "hardcoded" varianty adresáře Windows: C: WINDOWS, C: WIN95, C: WIN98, C: WINNT a při instalaci systému Windows do adresáře s jiným názvem se nezdaří.

Do dalšího spouštění systému Windows se červená kopie aktivuje jako soubor TYPEDEF.EXE z adresáře systému Windows. Červa spouští čítač, který je uložen v souboru TYPEDEF.INI a je navýšen na každý začátek souboru TYPEDEF.EXE (tj při každém spuštění systému Windows). V závislosti na tomto čítači (jednou za tři spouštění) vytvoří červa soubor TYPEDEF.VBS a zapíše program VisualBasicScript tam, kde odesílá kopii červů připojenou k e-mailovým zprávám.

Tento program otevírá MS Outlook, čte e-mailové adresy z adresáře a odesílá zprávy všem. Předmět zprávy je: "Zkontrolujte to". Text zprávy a připojený název souboru jsou náhodně vybrány z osmi variant:

Zdá se, že internetový prohlížeč 5 má nějakou chybu, která zanechává jisté otvory a umožňuje někomu psát soubory do vašeho systému. Tuto opravu jsem stáhl. Posílám to jako přílohu.
Připojit: IE5FIX.EXE

Našla jsem něco, co by vám pomohlo zbavit se těch dráždivých reklam, které se objevují při návštěvě některých stránek. Posílám to jako přílohu.
Připojte: NOADS.EXE

Zde jsou některé obrázky, které by se vám mohly líbit. Musíte je skutečně zkontrolovat.
Připojte: IMAGES.EXE

Posílám některé z nejlepších obrázků známých muži. Možná je budete chtít podívat.
Připojit: COOLPICS.EXE

Podívejte se na tyto dokumenty. Posílám je ve stlačeném odlučovači.
Připojit: DOCS.EXE

Posílám vám nastavení nejnovější verze shareware verze PKZip. Poskytuje vynikající poměr komprese. Můžete jej nainstalovat.
Připojit: PKSETUP.EXE

Nainstaloval jsem opravu některých chyb v aplikaci Internet Explorer. Posílám to jako přílohu.
Připojit: PATCH.EXE

Stahoval jsem spořič obrazovky s chladnými efekty. Posílám vám instalaci. Vyzkoušejte to
Připojte: SCRNSAVE.EXE

Také v závislosti na čítači se červ zobrazí text:

 ------ - - - - -  - ---- ---- ---- -----  - - - - - - - - -----  - - - ---- ---- ------ - -  - - - - - - - - ---- ---- ---- ---- ----- --- -                                ----- --- -                                - - - -                                --- --- --- --- -                                  --- - - - -----                                    --- ----- - ----- - -                                - - - - - - - - - -                                 ----- --- --- --- --- --- --- -

!!! a míchaná vejce !!!
I-WORM.TSSE
Kódováno [Offset]

Červ obsahuje také textové řetězce:

Míchaný salát a míchaná vejce Worm = I-Worm.TSSE. Kódováno [Offset]

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	VBS
Popis	Technické údaje Tento červa se šíří v e-mailových zprávách. Červ samotný je soubor DOS EXE o délce přibližně 30 kilogramů. Při spuštění se nainstaluje do adresáře systému Windows s názvem TYPEDEF.EXE a zaregistruje se v souboru Win.ini v sekci automatického spuštění. Chcete-li svou činnost skrýt, pak červ zobrazí falešnou zprávu a ukončí: PKSFX Self Extraction Utility verze 2.50 03-01-1999 Copr. 1989-1999 PKWARE Inc. Všechna práva vyhrazena. Verze Shareware PKZIP Reg. US Pat. a Tm. Vypnuto. Patent č. 5,051,745 Chyba v SFX – Nelze extrahovat! Během instalace se červ pokusí najít čtyři "hardcoded" varianty adresáře Windows: C: WINDOWS, C: WIN95, C: WIN98, C: WINNT a při instalaci systému Windows do adresáře s jiným názvem se nezdaří. Do dalšího spouštění systému Windows se červená kopie aktivuje jako soubor TYPEDEF.EXE z adresáře systému Windows. Červa spouští čítač, který je uložen v souboru TYPEDEF.INI a je navýšen na každý začátek souboru TYPEDEF.EXE (tj při každém spuštění systému Windows). V závislosti na tomto čítači (jednou za tři spouštění) vytvoří červa soubor TYPEDEF.VBS a zapíše program VisualBasicScript tam, kde odesílá kopii červů připojenou k e-mailovým zprávám. Tento program otevírá MS Outlook, čte e-mailové adresy z adresáře a odesílá zprávy všem. Předmět zprávy je: "Zkontrolujte to". Text zprávy a připojený název souboru jsou náhodně vybrány z osmi variant: Zdá se, že internetový prohlížeč 5 má nějakou chybu, která zanechává jisté otvory a umožňuje někomu psát soubory do vašeho systému. Tuto opravu jsem stáhl. Posílám to jako přílohu. Připojit: IE5FIX.EXE Našla jsem něco, co by vám pomohlo zbavit se těch dráždivých reklam, které se objevují při návštěvě některých stránek. Posílám to jako přílohu. Připojte: NOADS.EXE Zde jsou některé obrázky, které by se vám mohly líbit. Musíte je skutečně zkontrolovat. Připojte: IMAGES.EXE Posílám některé z nejlepších obrázků známých muži. Možná je budete chtít podívat. Připojit: COOLPICS.EXE Podívejte se na tyto dokumenty. Posílám je ve stlačeném odlučovači. Připojit: DOCS.EXE Posílám vám nastavení nejnovější verze shareware verze PKZip. Poskytuje vynikající poměr komprese. Můžete jej nainstalovat. Připojit: PKSETUP.EXE Nainstaloval jsem opravu některých chyb v aplikaci Internet Explorer. Posílám to jako přílohu. Připojit: PATCH.EXE Stahoval jsem spořič obrazovky s chladnými efekty. Posílám vám instalaci. Vyzkoušejte to Připojte: SCRNSAVE.EXE Také v závislosti na čítači se červ zobrazí text: ------ - - - - - - ---- ---- ---- ----- - - - - - - - - ----- - - - ---- ---- ------ - - - - - - - - - - ---- ---- ---- ---- ----- --- - ----- --- - - - - - --- --- --- --- - --- - - - ----- --- ----- - ----- - - - - - - - - - - - - ----- --- --- --- --- --- --- - !!! a míchaná vejce !!! I-WORM.TSSE Kódováno [Offset] Červ obsahuje také textové řetězce: Míchaný salát a míchaná vejce Worm = I-Worm.TSSE. Kódováno [Offset]
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.VBS.Tossed

Technické údaje